密码管理器指南

Question

我使用Lastpass并测试其他密码管理器，以便为组织使用设置策略。根据设置，我发现这些程序可以自动将您的密码发送到意想不到的位置。例如：

密码安全:密码安全的“浏览到URL和自动类型”功能打开默认浏览器，输入用户名和密码并生成回车！在IE和Chrome中，这会导致一个以我的密码作为搜索词的网络搜索，将我的密码广播到一个意想不到的地方。

LastPass: Lastpass有时很难区分"hr.company.com“和”Test-apps.hr.company.com“。我为hr.company.com启用了自动登录。Lastpass随后尝试自动登录到testing.hr.company.com，但失败了。由于我们正在测试，因此生成了一个日志文件条目，其中包含了我的hr.company.com凭据。迫使我迅速更改我的密码和重新评估我的使用自动登录设置。

我的问题是:这不可能是密码管理器不安全使用的唯一例子。外面还有什么问题吗？有人能推荐在组织中安全使用密码管理器的指导方针吗？

Answer 1

主机名hr.company.com和testing-apps.hr.company.com不会导致正确的浏览器安全模型隔离-- hr.company.com可以设置testing-apps.hr.company.com可以读取的cookie，而testing-apps.hr.company.com可以在hr.company.com域中设置cookies。因此，您必须同时信任hr.company.com和testing-apps.hr.company.com才能使用它们，因此可以说，LastPass不小心在一个应用程序上完成密码细节并不是一个大缺陷--测试环境应该位于一个完全独立的域上，以防止发现的任何漏洞暴露在活动域上。此外，密码不应该存储在日志文件中，因此虽然它可以被认为是一个小错误(也许它应该在填写另一个子域的表单之前提示)，但它本身并不是一个巨大的安全弱点--底层的web应用程序需要被信任，这包括考虑浏览器的安全模型。可能是testing-apps.hr.company.com只在内部可用。但是，这可能允许本地攻击者使用测试版本上的缺陷来危害其他员工的实时帐户。

在这种情况下，您可以通过配置使这个特定的密码管理器更安全。例如禁用自动填充，在称为URL规则的设置中也有一个选项。在这里，您可以设置主机名是否必须是完全匹配的。你不能阻止人们以不安全的方式使用软件，正如你已经指出的那样，你只能指导和教育他们。

我的问题是:这不可能是密码管理器不安全使用的唯一例子。外面还有什么问题吗？有人能推荐在组织中安全使用密码管理器的指导方针吗？

所有的应用程序都会有缺陷，无论是在企业层面还是在企业层面。基于浏览器的密码管理器的优点是可以防止网络钓鱼攻击。URL将被验证，默认情况下，只有为该URL保存的凭据才会完成。如果这是您想要保护的东西，那么您将非常需要使用一个基于浏览器的密码管理器。如果使用基于浏览器的应用程序风险太大，那么您可以使用单独的应用程序，但您必须承认，不知情的用户可能无意中登录错误的网站，无论是恶意网站还是非恶意网站，都有可能将他们的登录凭据暴露给第三方。

具体的指导方针将根据所使用的软件以及组织内部如何使用密码以及组织本身的不同而有所不同。例如。组织是信任云，还是一切都是在内部完成的？将密码数据存储在受信任的内部服务器上可能会更好，但是组织将承担额外的工作，以确保基础设施得到适当的保护，并确保数据被正确加密并安全地存储密钥。

Answer 2

像Lastpass这样的密码管理工具正在将您的数据存储在他们的服务器上，这就是导致他们的今年早些时候有巨大的漏洞的原因。虽然Lastpass可能很适合用于基于家庭的计算机，但企业密码管理器确实存在，并且应该驻留在您的基础结构中。会有一些人会争论：“云同样安全”，我会说：“网络会崩溃……如果你的云提供商倒下了……你的密码也会崩溃。”无论是哪种情况，NIST都有In 800-118：企业密码管理指南，它是草案形式，但应该给出一些指导。